 |
eXeL@B —› Вопросы новичков —› Вроде пакер легкий а импрек импорт не находит (пакер 32Lite 0.03a -> Oleg Prokhorov ) |
| Посл.ответ | Сообщение |
|
|
Создано: 27 августа 2007 21:29 · Личное сообщение · #1 Решил я распаковывать сей пакер и тут же столкнулся с проблеммой восстановления импорта такого я еще не видел чтобы импрек не смог распознать ни одной функции кто-нибудь может объяснить почему так происходит и как с этим бороться ведь другие файлы, запакованные этим пакером распаковывались на ура  dd6f_27.08.2007_CRACKLAB.rU.tgz - zoomin.exe
 |
|
|
Создано: 27 августа 2007 21:38 · Личное сообщение · #2 Ну тык хоть бы указал свое начало импорта, и конец, наверняка ты его нашел не правильно ----- StarForce и Themida ацтой! |
|
|
Создано: 27 августа 2007 22:16 · Личное сообщение · #3 GodFather пишет: такого я еще не видел чтобы импрек не смог распознать ни одной функции С ним иногда такое бывает. Вот поэтому и надо уметь искать границы IAT ручками: 
RVA OEP: 00001E1A RVA IAT: 00006000 Size IAT: 000001C0 |
|
|
Создано: 27 августа 2007 22:27 · Личное сообщение · #4 решил я сразу подсветить процесс в импреке где OEP=00001000 но почему с настоящим OEP=00001E1A импрек работать не хочет пишет не могу найти импорт с таким OEP хотя он правильный RVA=00005FFC Size=000001C8 Пришлось фиксить импорт с OEP=00001000 а потом переписывать OEP с помощью LordPE на =00001E1A тогда прога работает но почему такой косяк с импреком вместо того чтобы найти таблицу импорта он находит структуру которая находится по адресу RVA=00008454 вот лог Analysing process... Module loaded: c:\windows\system32\ntdll.dll Module loaded: c:\windows\system32\kernel32.dll Module loaded: c:\windows\system32\gdi32.dll Module loaded: c:\windows\system32\user32.dll Module loaded: c:\windows\system32\kеrnеl32.dll Module loaded: c:\windows\system32\advapi32.dll Module loaded: c:\windows\system32\rpcrt4.dll Getting associated modules done. Image Base:00400000 Size:0000C000 Original IAT RVA found at: 00008454 in Section RVA: 00005000 Size:00006000 IAT read successfully. ---------------------------------------------------------------------- ----------------------------------------------------- Current imports: 0 (decimal:0) valid module(s) 0 (decimal:0) imported function(s). Original IAT RVA found at: 00008454 in Section RVA: 00005000 Size:00006000 по адресу 00408454 . 00000000 dd 00000000 00408458 . 00000000 dd 00000000 0040845C . 00000000 dd 00000000 00408460 . 00000000 dd 00000000 00408464 . 00000000 dd 00000000 00408468 . 00000000 dd 00000000 это что он её с импортом путает что-ли? |
|
|
Создано: 29 августа 2007 18:13 · Поправил: Archer · Личное сообщение · #5 Всё он нормально у меня видит, ОЕП взял 1E1A, IAT RVA 6000, size 1C0. А то, что ты указал-это Original IAT-изначальный импорт в запаченом файле, а тебе в анпаченом надо. З.Ы. QuickUnpack анпачит норм. |
|
|
Создано: 30 августа 2007 21:25 · Личное сообщение · #6 Спасибо за помощь разобрался тему закрываю |
|
eXeL@B —› Вопросы новичков —› Вроде пакер легкий а импрек импорт не находит (пакер 32Lite 0.03a -> Oleg Prokhorov ) |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати